Der Stichtag für den Beginn der NIS2-Vorschrift am 17. Oktober 2024 rückt näher und die EU-Mitgliedstaaten, darunter auch Deutschland, arbeiten an der Umsetzung der Richtlinie in nationales Recht. Die deutsche Regierung hat kürzlich einen Gesetzesentwurf verabschiedet, der nun von den Bundesländern geprüft wird, bevor er in den Bundestag eingebracht wird. NIS2 könnte potenziell über 160.000 Unternehmen in der EU betreffen und erfordert eine umfassende Überarbeitung der bisherigen Cybersicherheitspraktiken.
Wir haben mit Dr. Frank Schemmel, Senior Director für Privacy, Compliance & Public Affairs bei DataGuard, darüber gesprochen, welche Auswirkungen NIS2 haben wird und inwiefern die Unternehmen auf die neue Vorschrift vorbereitet sind. Wie weit ist die Richtlinie fortgeschritten und welche Auswirkungen wird sie haben? Sind die Unternehmen bereit oder werden sie sich in letzter Minute darum bemühen, die neuen Anforderungen zu erfüllen?
Herr Dr. Schemmel, können Sie einen kurzen Überblick über die NIS2-Richtlinie und ihre Bedeutung für Unternehmen, die in der Europäischen Union tätig sind, geben?
Die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) führt strengere rechtliche Anforderungen für die Cybersicherheit in Europa ein. Ihr Hauptziel ist es, die Cyber-Resilienz von Unternehmen in 18 relevanten Sektoren zu verbessern.
Die Richtlinie zielt darauf ab, einen kontrollierten Sicherheitsstatus zu etablieren, ein angemessenes Maß an Sicherheitsreife zu gewährleisten, die Lieferkettensicherheit zu verbessern und die Meldepflichten zu optimieren. Das übergeordnete Ziel ist es, in Europa eine tiefgreifende Cyber-Resilienz zu erreichen.
Um dies zu verdeutlichen: Allein in Deutschland werden rund 30.000 Unternehmen direkt von NIS2 betroffen sein, europaweit sind es etwa 160.000 Organisationen. Diese Zahlen sind noch höher, wenn man die indirekten Auswirkungen auf Zulieferer und andere vernetzte Unternehmen einbezieht, was die große Reichweite der Richtlinie verdeutlicht.
Welche Branchen sind von der Richtlinie am stärksten betroffen?
Mit NIS2 wird Cybersicherheit endlich zu einer Top-Priorität in Unternehmen. Ob ich nun CEO eines Unternehmens für kritische Infrastrukturen oder eines internationalen Konzerns bin oder nur Geschäftsführer eines mittelständischen Zulieferers in der Automobilindustrie, die neuen Cybersicherheitsanforderungen gelten auch für mich.
Insbesondere der chemische Sektor und damit das gesamte verarbeitende Gewerbe in Deutschland muss sich ebenso wie die Maschinenbauindustrie auf höhere Standards der Cybersicherheit einstellen. Diese beiden Branchen sind das Kernstück der deutschen Wirtschaft und hinken in Bezug auf Cyber-Resilienz häufig hinterher.
Überprüfen Sie jetzt, ob Sie von NIS2 betroffen sind: NIS2-Checker
Das Gleiche gilt für das Gesundheitswesen – jede Woche hören wir von Cyberangriffen, die Krankenhäuser lahmlegen. Während der Pandemie behaupteten einige Zyniker, Datenschutz sei tödlich, aber ich würde eher sagen, das trifft auf eine geringe Cyber-Resilienz zu.
Da die Richtlinie einen Fokus auf die Lieferkettensicherheit legt, können auch Unternehmen unterhalb bestimmter Schwellenwerte—beispielsweise mit weniger als 250 Beschäftigten—betroffen sein, wenn sie Teil der Lieferkette für kritische Sektoren sind. Die Compliance-Anforderungen werden sich über die gesamte Wertschöpfungskette erstrecken und sich direkt und indirekt auf die Unternehmen auswirken.
Was sind die wichtigsten Anforderungen, die Unternehmen nach NIS2 erfüllen müssen?
NIS2 verfolgt einen All-Gefahren-Ansatz zum Schutz von Netzwerk- und Informationssystemen und ihrer physischen Umgebung vor verschiedenen Bedrohungen. Die Anforderungen umfassen Governance-Richtlinien, Risikomanagement, Vorfallmanagement—einschließlich Prävention, Erkennung und Reaktion auf Cybervorfälle—sowie Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs wie Backups und Notfallwiederherstellungspläne.
Eine wesentliche Verbesserung von NIS2 im Vergleich zur Vorgängerrichtlinie ist die stärkere Hervorhebung der Lieferketten- und Beschaffungssicherheit. Unternehmen müssen dementsprechend sicherstellen, dass ihre Lieferanten die erforderlichen Sicherheitsstandards erfüllen.
Das könnte Sie auch interessieren: Cybersicherheit & Lieferketten Risikomanagement: Fehler & Best Practices
Auch Schulungen sind wichtig, insbesondere für das Top-Management, das in der Lage sein muss, Cybersicherheitsrisiken zu bewerten und auf sie zu reagieren. Darüber hinaus sieht die Richtlinie strenge Meldepflichten vor, wonach Vorfälle innerhalb von 24 Stunden an die nationalen Cybersicherheitsbehörden gemeldet werden müssen. Zudem ist innerhalb von 72 Stunden ein ausführlicher Bericht und nach einem Monat ein Abschlussbericht erforderlich.
Betrachtet man Deutschland, so schätzt die Bundesregierung, dass das Erreichen der erforderlichen Sicherheitsreife im Rahmen von NIS2 allein für Organisationen in Deutschland einmalige Kosten in Höhe von 2,1 Milliarden Euro und jährliche Kosten in Höhe von 2,2 Milliarden Euro erfordern wird. Betrachtet man die gesamte EU, könnten sich die jährlichen Kosten auf 10 Milliarden Euro belaufen.
Die Industrie 4.0 gilt als eine der am stärksten von Cyberangriffen betroffenen Branchen. Gab es in den letzten Jahren Fortschritte bei den Bemühungen um mehr Cybersicherheit?
Ja, ich denke es wurden Fortschritte gemacht, insbesondere bei größeren Organisationen. Allerdings gibt es noch großes Verbesserungspotenzial. Viele Unternehmen haben stark in die Digitalisierung und in vernetzte Produkte investiert, aber es wurde nicht genug für die Sicherheit und Zukunftsfähigkeit getan.
Ein wesentliches Problem besteht darin, dass die meisten Geräte- und Netzwerkstandards in der Industrie 4.0 nicht über die technischen Möglichkeiten verfügen, robuste Cybersicherheitsmaßnahmen einzubetten, wie sie in üblichen Informationssystemen verwendet werden.
Das könnte Sie auch interessieren: Cybersecurity in der Industrie 4.0: Warum die Fertigungsindustrie ein Viertel aller Cyberangriffe ausmacht
Daher müssen Unternehmen oft eigene Systeme und Lösungen für Ihr Cybersicherheitsmanagement entwickeln, da das, was auf dem Markt verfügbar ist, womöglich nicht ausreicht. Obwohl es also Fortschritte gibt, ist klar, dass die Industrie 4.0 noch immer vor erheblichen Herausforderungen steht, um eine ausreichende Cybersicherheit zu erlangen.
Die First für die Umsetzung der NIS2-Richtlinie in nationales Recht rückt näher. Sind die EU-Mitgliedstaaten im Zeitplan?
Bis zum 17. Oktober 2024 muss die NIS2-Richtlinie in nationales Recht umgesetzt werden. Es wird jedoch erwartet, dass viele Länder, darunter auch Österreich und Deutschland, diese Frist nicht einhalten werden. In Deutschland wird derzeit ein verlässlicher Gesetzesentwurf diskutiert, der voraussichtlich Anfang 2025 in Kraft treten wird. Sobald das Gesetz rechtsgültig ist, haben die Organisationen drei Monate Zeit, um zu prüfen, ob sie in den Anwendungsbereich der NIS2-Richtlinie fallen, und dies den zuständigen Behörden zu melden.
Wird es für Länder, die den Zeitplan nicht einhalten können, rechtliche Konsequenzen geben?
Ja, die EU-Kommission, die die Umsetzung der EU-Gesetze überwacht, kann rechtliche Schritte gegen Mitgliedstaaten einleiten, die sich nicht an die Vorschriften halten. Dies könnte auch zur Folge haben, dass die Länder vor dem Europäischen Gerichtshof verklagt werden.
Eine ähnliche Situation gab es bei der EU-Whistleblowing-Richtlinie, bei der mehrere Länder, darunter auch Deutschland, die Umsetzung mehr als zwei Jahre später als geplant abgeschlossen haben. Daraufhin leitete die EU-Kommission rechtliche Schritt ein und einige Länder mussten erhebliche Strafen zahlen. Deutschland musste zwischen 500.000 und 600.000 Euro pro Tag zahlen, an dem die Vorschriften nicht eingehalten wurden.
Sichern Sie Ihren Erfolg.
Abonnieren Sie praxisnahe Experten-Tipps!
Schließen Sie sich 3.000+ Führungskräften an, die mit unserem monatlichen Newsletter zu dem Thema Informationssicherheit auf dem Laufenden bleiben.
Es gibt viele Parallelen zwischen der DSGVO und NIS2. Denken Sie angesichts dessen, dass es auch Ähnlichkeiten bezüglich der Trageweite und den Auswirkungen auf die Branche gibt?
Definitiv. Die Auswirkungen von NIS2 auf die Cybersicherheit werden vergleichbar sein mit dem Effekt der DSGVO auf den Datenschutz. So wie die DSGVO einen globalen Standard für den Datenschutz gesetzt hat, soll NIS2 das Gleiche für die Cybersicherheit bewirken. Die tatsächlichen Auswirkungen werden jedoch maßgeblich davon abhängen, wie konsequent die Richtlinie von den Aufsichtsbehörden durchgesetzt wird.
„Die Auswirkungen von NIS2 auf die Cybersicherheit werden vergleichbar sein mit dem Effekt der DSGVO auf den Datenschutz. So wie die DSGVO einen globalen Standard für den Datenschutz gesetzt hat, soll NIS2 das Gleiche für die Cybersicherheit bewirken. Die tatsächlichen Auswirkungen werden jedoch maßgeblich davon abhängen, wie konsequent die Richtlinie von den Aufsichtsbehörden durchgesetzt wird”, Dr. Frank Schemmel, Senior Director für Privacy, Compliance & Public Affairs bei DataGuard.
Sind die Organisationen bereit für NIS2 oder wird in letzter Minute Hektik aufkommen?
Einige Organisationen ergreifen bereits die notwendigen Schritte, um ihre Cybersicherheitsmaßnahmen zu verbessern, aber viele sind noch nicht so weit. Nach Angaben der Bundesregierung haben bisher nur 17 % der betroffenen Organisationen in Deutschland ausreichende Maßnahmen ergriffen. Dies deutet darauf hin, dass sich ein erheblicher Teil der Unternehmen möglicherweise in letzter Minute um die NIS2-Compliance bemühen muss.
Je näher der Stichtag rückt, desto größer wird vermutlich der Druck, die Anforderungen zu erfüllen. Davon ist insbesondere deshalb auszugehen, weil NIS2 auch die Lieferkettensicherheit abdeckt und damit auch Unternehmen in die Pflicht genommen werden, die nicht direkt von der Richtlinie betroffen sind.
Das könnte Sie auch interessieren: Die NIS2-Richtlinie: Was jetzt für EU-Unternehmen wichtig ist
Über die operativen Auswirkungen hinaus führt NIS2 eine direkte Haftung der obersten Führungsebene ein, wenn keine wirksamen Maßnahmen ergriffen werden. Dies ist eine Lehre aus der DSGVO, deren Nichteinhaltung schwerwiegende Konsequenzen nach sich ziehen kann.
Im schlimmsten Fall könnte Managern von kritischen Organisationen verboten werden, ihre Geschäftstätigkeit fortzusetzen, wenn sie sich nicht an die Vorschriften halten. Dadurch könnte eine Betriebsstillegung drohen. Auch wenn solche extremen Maßnahmen zur Durchsetzung der Richtlinie vielleicht nicht sofort erfolgen, unterstreicht die Möglichkeit dazu, wie ernstzunehmend die Einhaltung der Vorschriften ist.
Ist NIS2 in Anbetracht zunehmender Cyberbedrohungen ausreichend, um die Informationssicherheit in Unternehmen zu stärken?
NIS2 ist ein Schritt in die richtige Richtung. Die Richtlinie legt Standards für verschiedene Sektoren, darunter auch die Infrastruktur, fest und schreibt Maßnahmen wie Vorfallmanagement und Lieferkettensicherheit vor. Die Wirksamkeit der Richtlinie hängt jedoch stark von der Durchsetzung ab.
„Die gute Nachricht ist: Wenn Ihre Organisation bereits nach ISO 27001 zertifiziert ist, haben Sie schon wichtige Schritte unternommen, um der NIS2-Richtlinie zu entsprechen. Mit dem Aufbau eines ISO 27001-konformen ISMS erfüllen Sie etwa 70 % der NIS2-Anforderungen”, Dr. Frank Schemmel, Senior Director für Privacy, Compliance & Public Affairs bei DataGuard.
Wenn die Aufsichtsbehörden die Richtlinie nicht konsequent durchsetzen, könnten größere Organisationen die Vorschriften nur minimal einhalten, weil sie annehmen, dass sie mit rechtlichen Mitteln dagegen vorgehen können. Kleinere Unternehmen könnten davon ausgehen, dass sie unbeobachtet und nicht im Visier der Aufsichtsbehörden sind, obwohl Cyberangreifer es oft auf die Schwächsten abgesehen haben. Daher ist die Lieferkettensicherheit von entscheidender Bedeutung, da Störungen ganze Branchen betreffen können, wenn wichtige Lieferanten betroffen sind.
Welchen Rat würden Sie einer Organisation geben, die noch nicht mit der Vorbereitung für NIS2 begonnen hat?
Falls Sie noch nicht damit begonnen haben, ist der erste Schritt, ein Informationssicherheits-Managementsystems (ISMS) zu implementieren und es zertifizieren zu lassen. Das ISMS bietet Ihnen einen Rahmen, um Risiken effektiv zu managen und zu mindern. Zudem sollten Unternehmen ihre Lieferketten und IT-Systeme sorgfältig prüfen, um Schwachstellen zu ermitteln. Es ist sehr wichtig, mit diesem Prozess jetzt zu beginnen, da es viel Zeit in Anspruch nehmen kann, alle potenziellen Risiken zu erfassen und zu beseitigen.
Dieser Artikel ist nur ein Ausschnitt. Mit DataGuard erhalten Sie einen kompletten Überblick über die Informationssicherheit
Ein digitales ISMS ist die Grundlage für ein effektives Cyber-Risikomanagement. Es bildet die Basis für alle Aktivitäten innerhalb der Informationssicherheit.
Und wir können Ihnen helfen, es aufzubauen – bereit loszulegen?
Die gute Nachricht ist: Wenn Ihre Organisation bereits nach ISO 27001 zertifiziert ist, haben Sie schon wichtige Schritte unternommen, um der NIS2-Richtlinie zu entsprechen. Mit dem Aufbau eines ISO 27001-konformen ISMS erfüllen Sie etwa 70 % der NIS2-Anforderungen.
Wie kann DataGuard bei der Einhaltung der NIS2-Richtlinie helfen?
DataGuard kann Unternehmen bei der Einhaltung von NIS2 unterstützen, und zwar mit der Bewertung der NIS2-Bereitschaft. Dabei wird ermittelt, welche Maßnahmen Ihr Unternehmen bereits umgesetzt hat und welche Lücken zwischen den aktuellen Sicherheitsmaßnehmen und den NIS2-Anforderungen bestehen.
DataGuard unterstützt Sie zudem bei der Implementierung eines ISMS und bietet Tools für das Asset- und Risikomanagement. Darüber hinaus bieten wir Schulungsprogramme an, einschließlich spezieller Schulungen für die oberste Führungsebene, um sicherzustellen, dass sie die erforderlichen Sicherheitsmaßnahmen verstehen und überwachen können.
Häufig gestellte Fragen
Welche Anforderungen gelten für NIS2?
NIS2 schreibt umfassende Cybersicherheitspraktiken vor, darunter Risikobewertungen, Vorfallmanagement, Geschäftskontinuitätspläne und Lieferkettensicherheit. Darüber hinaus wird in der Richtlinie hervorgehoben, dass die Geschäftsleitung aktiv an der Überwachung der Cybersicherheitsmaßnahmen beteiligt sein muss.
Ist die NIS2-Richtlinie in Kraft?
NIS2 wurde von der EU angenommen und wird von den Mitgliedstaaten in nationales Recht umgesetzt. Der Stichtag für die Einhaltung der Richtlinie ist der 17. Oktober 2024. Bis dahin müssen alle betroffenen Organisationen die Anforderungen der Richtlinie erfüllen.
Ist mein Unternehmen von NIS2 betroffen?
NIS2 gilt für die in der EU tätigen Unternehmen, die besonders wichtige und wichtige Dienstleistungen in Bereichen wie Energie, Verkehr, Gesundheit und digitale Infrastruktur erbringen. Zudem umfasst die Richtlinie auch Unternehmen, die Teil der Lieferketten dieser kritischen Sektoren sind.
Prüfen Sie, ob Sie betroffen sind: NIS2-Checker
Welche Meldepflichten bestehen für NIS2?
Gemäß der NIS2-Richtlinie müssen Unternehmen bedeutende Cybersicherheitsvorfälle innerhalb von 24 nach der Entdeckung an die nationalen Behörden melden, gefolgt von einem detaillierten Bericht innerhalb von 72 Stunden und einem Abschlussbericht nach einem Monat. Dieses Verfahren gewährleistet eine rechtzeitige Reaktion und Transparenz im Umgang mit Cyberbedrohungen.
Was ist der Unterschied zwischen NIST und NIS2?
NIST bietet freiwillige Cybersicherheitsrichtlinien, die hauptsächlich in den USA angewendet werden und sich auf Best Practices und Frameworks konzentrieren. NIS2 hingegen ist eine verbindliche EU-Richtlinie, die gesetzliche Anforderungen für die Cybersicherheit in der gesamten EU sowie bestimmte Verpflichtungen und Meldepflichten für Unternehmen festlegt.